공지사항

안내NEW

[빗썸 정보보호의 날 캠페인] 앱 하나 잘못 깔았다가 10억 날렸습니다 — 가짜 앱 피해 사례

2026-07-08 11:16:51




안녕하세요.
당신의 안전한 금융 파트너, 빗썸입니다.

이번 달에는 "공식 앱스토어에 있으니 설치해도 되겠지" 라는 순간의 방심을 노리는 가짜 거래 앱 사기에 대해 이야기하려 합니다.




😨 실제로 이런 일이 있었습니다

사례 1. 해외 유명 가상자산 하드웨어 지갑 브랜드 공식 앱을 사칭한 가짜 앱

해외의 한 유명 가상자산 하드웨어 지갑 브랜드의 공식 관리 앱과 이름도, 아이콘도 거의 동일한 가짜 앱이 Apple App Store에 등록되어 있었습니다.

항목

내용

플랫폼

Apple App Store (공식 마켓)

수법

공식 앱과 유사한 이름으로 등록 후, 앱 설치 시 시드 구문(24개 단어) 입력 유도 → 지갑 즉시 탈취

피해 규모

$768,000 (약 10억 원)

  1. 피해자는 App Store에서 해당 앱을 검색했습니다.

  2. 검색 결과에 정상 앱과 거의 구별이 불가능한 가짜 앱이 노출되었습니다.

  3. 앱을 설치하자 "지갑 복구를 위해 시드 구문을 입력하라"는 안내가 나왔습니다.

  4. 시드 구문(복구 단어 24개)을 입력한 순간, 공격자는 피해자의 가상자산 지갑 전체를 탈취했습니다.

시드 구문(Seed Phrase)이란?
가상자산 하드웨어 지갑의 마스터 키입니다. 이 24개 단어를 아는 사람은 누구든 지갑의 모든 자산에 접근할 수 있습니다.

 

사례 2. 공공기관 앱을 사칭한 악성 앱

해외 범죄 조직이 국내 공공기관의 공식 앱과 동일하게 생긴 악성 앱을 제작해 유포한 사례도 있습니다.

항목

내용

수법

금융·수사기관 직원으로 위장해 피해자에 접근 → 가짜 앱스토어 링크로 악성 앱 설치 유도

피해 범위

통화·문자 내역·연락처 등 개인정보 탈취, 전화 수·발신 및 카메라 원격 조작

특징

두 번째 악성 앱이 정상 시스템 파일처럼 위장되어 삭제도 어려움

  1. 조직원이 수사기관·금융기관 직원으로 위장해 "범죄 피해 예방을 위해 앱을 설치하라"고 유도합니다.

  2. 피해자가 문자로 받은 링크에 접속하면 가짜 앱스토어 페이지가 뜨고 악성 앱이 설치됩니다.

  3. 앱이 모든 권한 허용을 요청하고, 수락 시 두 번째 악성 앱이 몰래 설치되어 기기 전체를 장악합니다.

핵심: 수사기관이나 금융기관은 문자나 전화로 앱 설치를 요구하지 않습니다.
이런 요청을 받으면 즉시 전화를 끊고 해당 기관 공식 번호로 직접 확인하세요.

 

😟 가짜 앱, 왜 앱스토어 심사를 통과했을까?

공식 앱스토어는 심사 절차가 있음에도 불구하고, 공격자들은 다양한 방법으로 이를 우회합니다.

우회 수법

설명

점진적 기능 추가

처음엔 정상적으로 작동하다가 업데이트 후 악성 기능 삽입

유사 이름 등록

공식 앱과 1~2글자만 다른 이름 사용 (예: 빗썸빗썸b)

아이콘·디자인 복제

정상 앱의 디자인을 그대로 모방

리뷰 조작

가짜 긍정 리뷰로 신뢰도 위장

 

😮 가짜 거래 앱, 이런 수법도 있습니다

앱스토어 외에도 다양한 경로로 가짜 앱이 유포됩니다.

유형

수법

검색엔진 광고

포털에서 "빗썸 앱 다운로드" 검색 시, 광고로 가짜 사이트 노출

SNS·메신저 링크

카카오톡, 텔레그램 등으로 APK 파일 직접 전송

투자 리딩방 유도

수익률이 좋다며 알 수 없는 앱 설치 유도

피싱 문자

"보안 업데이트 필요" 등 문자로 가짜 앱 다운로드 링크 전송

 

💸 가짜 앱에 속으면 이런 피해를 입을 수 있습니다

공식 앱를 사칭한 가짜 앱은 공식 앱과 매우 유사한 화면으로 사용자를 속일 수 있습니다.

또한, 사용자의 신뢰를 얻기 위해 소액 출금을 허용하기도 합니다. 하지만 이후 세금·수수료 등을 이유로 추가 입금을 요구하거나, 로그인 정보와 개인정보를 탈취해 자산을 빼앗고 기기까지 장악할 수 있습니다.

피해 유형

내용

가상자산·자산 탈취

가짜 거래 앱에 로그인 정보를 입력하는 순간, 계정 내 자산이 즉시 외부로 출금됩니다.

개인정보 유출

이름, 생년월일, 연락처, 금융정보 등이 탈취되어 2차 사기에 악용됩니다.

기기 완전 장악

악성 앱 설치 시 통화·문자 도청, 카메라·마이크 원격 작동, 다른 앱의 정보까지 탈취됩니다.

 

✅ 가짜 앱 피해를 막는 3가지 원칙

어렵게 생각하지 마세요. 앱 설치 전 이 3가지만 확인하면 됩니다.

CHECK 1. 공식 경로로만 설치하세요

빗썸 앱은 반드시 빗썸 공식 홈페이지(bithumb.com) 에 안내된 링크 또는 QR코드로 설치하세요.

검색 결과나 광고 링크는 이용하지 마세요. 가짜 앱은 아이콘·화면 디자인까지 공식 앱과 거의 똑같이 만들어집니다!




CHECK 2. 앱 설치 전 개발자가 공식 회사인지, 리뷰와 평점이 믿을 만한지 확인하세요.

설치 전 개발자명이 공식 회사명과 정확히 일치하는지 확인하세요.

리뷰와 평점이 좋아 보여도 조작된 경우가 많습니다. 리뷰 내용이 지나치게 비슷하거나 짧고 단순한 칭찬만 가득하다면 의심하세요.

CHECK 3. 앱 사용 시 과도한 권한 요청비정상적인 스마트폰 상태를 주의하세요

연락처, 문자, 통화 내역 등 거래와 무관한 권한을 요구하는 앱은 즉시 삭제하세요.

앱 설치 후 배터리가 갑자기 빨리 닳거나, 데이터 사용량이 급증하거나, 알 수 없는 앱이 생겼다면 악성 앱 감염을 의심하세요.

 

혹시 이미 실행해 버렸다면?                                                                             

당황하지 마시고, 아래 순서대로 조치해 주세요.                                                                                                     

(1) 즉시 조치 사항

① 네트워크 연결 즉시 차단 

  • Wi-Fi 및 유선 LAN 연결을 해제하여 외부 통신을 차단합니다. 

  • 악성코드의 추가 데이터 유출 및 원격 제어를 방지하기 위한 가장 우선적인 조치입니다.                                            

② 빗썸 계정 보호 조치 

  • 감염이 의심되지 않는 다른 기기(별도 스마트폰 등)를 통해 아래 조치를 수행합니다. 

  • 빗썸 비밀번호 즉시 변경 

  • 2단계 인증(2FA) 초기화 및 재설정  

  • API 키 전체 삭제 (발급 이력이 있는 경우)

  • 출금 주소 화이트리스트 점검 및 등록하지 않은 주소 삭제  

  • 최근 로그인 이력 및 출금 내역 확인 → 이상 거래 발견 시 빗썸 고객센터에 즉시 신고                                            

  ③ 빗썸 외 주요 계정 보호

  • 감염 기기에서 로그인한 이력이 있는 모든 서비스(이메일, 금융, SNS 등)의 비밀번호를 변경합니다.                         

  • 동일 비밀번호를 사용하는 타 서비스가 있다면 해당 계정도 함께 변경합니다.  

(2) 감염 기기 조치

① 백신 프로그램을 통한 정밀 검사

  • 최신 버전의 백신 프로그램으로 전체 정밀 검사를 수행합니다.

② 악성코드 제거가 어려운 경우

  • 백신으로 치료가 불가하거나 재감염이 반복되는 경우, OS 초기화(포맷 후 재설치)를 권고합니다.                      

  • 초기화 전 중요 데이터는 오프라인 저장매체(외장하드, USB 등)에 백업하되, 백업 파일에 대해서도 별도 검사를 수행합니다.               

③ OS 및 소프트웨어 최신 업데이트 적용   

  • OS 초기화 또는 치료 완료 후, 운영체제 및 모든 소프트웨어를 최신 버전으로 업데이트합니다.                                  

  • 감염 경로가 된 취약점의 재악용을 방지하기 위한 조치입니다.  

(3) 신고 및 지원 요청 

주의사항: 감염이 의심되는 기기에서는 빗썸을 포함한 어떠한 금융 서비스에도 로그인하지 마시기 바랍니다. 반드시 안전이 확인된 별도 기기를 통해 계정 보호 조치를 수행하시기 바랍니다.

상황

신고 및 문의처

연락처

빗썸 계정 이상 거래 발견

빗썸 투자자보호센터

1661-5566

해킹 / 악성코드 피해 신고

KISA 118상담센터

118

보이스피싱, 스미싱, 사이버 사기 상담 및 제보

182 경찰 민원 콜센터
112 신고센터

182

112

금융관련 사기, 분쟁 및 범죄신고

금융감독원

1332

 

내 계정을 지키는 빗썸 보안 기능 활용법

(1) 2채널 인증 활성화

2차 인증은 SMS 인증 이외에 아이디(ID)와 비밀번호로 로그인한 후 추가 인증을 한 번 더 수행하는 보안 기능입니다.
비밀번호가 유출되더라도 추가 인증 절차가 없으면 로그인할 수 없기 때문에 계정 탈취를 효과적으로 방지할 수 있습니다.

  • 아이디, 패스워드 로그인 후 2채널 인증 등록 기능 설정 가능

  • 설정 방법

    • PC : 상단 이름 클릭  > 설정 > 보안센터 > 2채널 인증 등록

    • Mobile : 하단 메뉴 > 더보기 > 고객센터 > 보안센터 > 2채널 인증 등록

[ 악용 사례 ]

공격자가 이동통신사를 속여 피해자의 휴대전화 번호를 공격자의 SIM 카드로 이전한 뒤,

SMS로 전송된 인증번호를 가로채 가상자산 계정에 접근하여 3만 8천 달러의 자금이 탈취된 사례가 보고되었습니다.

PC

Mobile





(2) 해외 IP 접속 차단 기능 이용

해외 IP 접속 차단 기능은 해외에서 로그인 시도 시 알림을 받을 수 있는 보안 기능입니다.
해외에서 발생하는 비정상 로그인 시도를 빠르게 인지하고 계정을 더욱 안전하게 보호할 수 있습니다.

  • 아이디, 패스워드 로그인 후 설정 가능

  • 설정 방법

    • PC : 상단 이름 클릭 > 설정 > 보안센터(고객지원) > 해외 IP 차단

    • Mobile : 하단 메뉴 > 더보기 > 고객센터 > 보안센터 > 해외 IP 차단

PC

Mobile





(3) AhnLab Safe Transaction 보안 프로그램 

빗썸에서는 안전한 거래 환경을 위해 AhnLab Safe Transaction 보안 프로그램을 제공하고 있습니다.                   

  • 해당 프로그램은 기본 설정이 OFF 상태이며, 사용자가 직접 ON으로 변경할 경우 설치 및 실행됩니다.                      

  • 주요 보호 기능:                                                                                                                                               

    • 키보드 입력 보호: 키로거 등 악성 프로그램으로부터 비밀번호·개인정보 입력 시 보호

    • 피싱/파밍 차단: 위변조된 사이트 접속 시 경고 및 차단

    • 메모리 해킹 방지: 브라우저 메모리 영역에 대한 무단 접근 탐지 및 차단 



(4) 이용자 권고 사항

  • 빗썸 접속 시 공식 URL 및 앱을 통해 접속하고, 검색엔진 광고 링크를 통한 접속은 자제해 주시기 바랍니다. 

  • 출처가 불분명한 이메일·문자 내 링크를 통한 빗썸 접속은 삼가해 주시기 바랍니다.

  • 보안 설정 변경 관련 알림을 수신한 경우, 본인의 조작 여부를 즉시 확인하시기 바랍니다.      

공격자는 여러분의 방심 한 순간을 노립니다.
설치 전 개발사 확인, 출처 확인 — 번거롭더라도 이 두 가지가 내 자산을 지킵니다.

감사합니다